Sysmon: PowerShell

Sysmon es un controlador de dispositivo y servicio del sistema Microsoft Windows que supervisa la actividad del sistema y registra sucesos en el registro de sucesos de Windows. Puede reenviar los registros de sucesos de Windows a QRadar® y analizarlos para detectar amenazas avanzadas en los puntos finales de Windows.

El caso de uso de Sysmon muestra cómo QRadar detecta un comportamiento sospechoso después de que un usuario descargue un archivo adjunto y lo ejecute en una estación de trabajo Windows.

Cuando un usuario pulsa el archivo descargado, el archivo inicia un shell de mandatos que ejecuta un script PowerShell para descargar y ejecutar un archivo desde una ubicación externa, lo que pone en riesgo el sistema del usuario. A continuación, el atacante escala sus privilegios a los permisos de acceso a nivel de sistema y descarga los nombres de usuario y las contraseñas de la red. Al iniciar la sesión en sistemas homólogos, el atacante se puede mover lateralmente y ejecutar scripts PowerShell para ejecutar procesos en varios sistemas de la red.

Para obtener más contenido de QRadar que dé soporte al caso de uso Sysmon: PowerShell , descargue IBM® QRadar Content Extension for Sysmon. El paquete de contenido incluye reglas, bloques de construcción, conjuntos de referencia y funciones personalizadas que se pueden utilizar para detectar amenazas avanzadas, como el abuso de PowerShell , los procesos ocultos de Windows y los ataques de memoria sin archivos.

Simulación de la amenaza

Para ver cómo QRadar detecta el ataque, vea el vídeo de simulación Sysmon: Powershell .

Para ejecutar la simulación en QRadar, siga estos pasos:
  1. En el separador Actividad de registro, pulse Mostrar Experience Center.
  2. Pulse Simulador de amenazas.
  3. Localice la simulación Sysmon: PowerShell y pulse Ejecutar.
En el separador Actividad de registro, puede ver los siguientes sucesos entrantes, que se utilizan para simular el caso práctico:
Tabla 1. Sucesos entrantes para el caso práctico Sysmon: PowerShell
Contenido Descripción
Sucesos Crear proceso

FileCreate

Se ha instalado un servicio en el sistema

CreateRemoteThread
Orígenes de registro Experience Center: WindowsAuthServer @ EC: <machine_name>

Experience Center: WindowsAuthServer @ EC: <user_name>

Los sucesos se reproducen en bucle y el mismo caso práctico se repite varias veces. Para detener la simulación, pulse Detener en la pestaña Simulador de amenazas .

Detección de amenazas: QRadar en acción

El componente Motor de reglas personalizadas (CRE) de QRadar es responsable de procesar sucesos y flujos de entrada. El CRE compara los sucesos y los flujos con una recopilación de pruebas, que se denominan reglas, y las reglas crean delitos cuando se cumplen unas condiciones determinadas. El CRE realiza el seguimiento de las pruebas de reglas y los recuentos de incidentes a lo largo del tiempo.

Sin embargo, saber que se ha producido un delito es solo el primer paso. QRadar facilita el análisis en profundidad e identifica cómo ha sucedido, dónde ha sucedido y quién lo ha hecho. Al indexar el delito, todos los sucesos que incluyen el mismo nombre de amenaza aparecen como un único delito.

Investigación de la amenaza

Para ver la lista del contenido de QRadar que contribuye a esta simulación, incluidas las reglas, las búsquedas guardadas, los delitos y los conjuntos de referencia, siga estos pasos:
  1. Abra la aplicación IBM QRadar Experience Center .
  2. En la ventana Simulador de amenazas, pulse el enlace Leer más correspondiente a la simulación y seleccione el tipo de contenido que quiera revisar.

    Si lo prefiere, ejecute, desde el separador Actividad de registro, la búsqueda rápida denominada EC: Sucesos de Sysmon para ver todos los sucesos asociados al delito.